Skip to main content

We have a tailored site for international audiences

Blog

¿Por qué selfie como KYC no es una solución de identificación?

De un tiempo a esta parte, las soluciones de identificación online que permiten la verificación de los usuarios mediante la toma de imágenes y selfies de sus ID ya no cumplen con las normativas legales de prevención de blanqueo de capitales y financiación del terrorismo (AML, Anti-Money Laundering), especialmente en el sector financiero.

En este artículo, detallaremos por qué este tipo de soluciones selfie para KYC para la verificación de usuarios no cumple con las leyes que regulan los procedimientos KYC y las regulaciones AML relacionadas con el onboarding y la autenticación de clientes.

# ¿Una selfie es KYC compliant? Los tres niveles de seguridad para procesos KYC

Para entender por qué la identificación y verificación de ID con selfie no son aceptadas como soluciones seguras para operaciones de alto riesgo, debemos entender los tres niveles de seguridad para el registro y la prueba de identidad.

Dados los múltiples casos de fraude en los procesos KYC/AML, el Departamento de Comercio de EEUU, a través del National Institute of Standards and Technology (NIST) definió una líneas base sobre la verificación de identidad digital (NIST SP 800-63A), que establecen tres niveles de seguridad para el registro y las pruebas en la verificación de identidad: bajo (IAL1), medio (IAL2) y alto (IAL3).

El nivel alto (IAL3) equivale a la identificación presencial y es apto para la creación de cuentas de forma remota/online. Este nivel requiere de intervención humana y propone una transmisión de vídeo continua en alta resolución. Por tanto, no permite las soluciones selfie KYC.

Las soluciones que toman imágenes/selfies con ID se engloban en el nivel medio de seguridad (IAL2) siempre y cuando se combinen con otras pruebas de alto nivel sobre la identidad del usuario, más allá de las imágenes tomadas del documento de identidad acreditativo y de la grabación de la cara de la persona. Estas suelen ser facturas, dirección, verificación de antecedentes u otra información que pruebe la identidad de la persona.

Este segundo nivel es inseguro, ineficiente y poco fiable. En la Unión Europea, por motivos de privacidad y seguridad, estos métodos no están permitidos para ningún nivel de seguridad por multitud de razones. Además, la dificultad en el tratamiento de datos de carácter personal, incluso de carácter público, les convierte en un problema para ser procesados por las entidades previo consentimiento expreso de las personas afectadas.

Para concluir, el nivel más bajo (IAL1) no requiere la recogida de pruebas, la validación, la verificación ni la recogida biométrica. Esto significa que en el IAL1 no es necesario vincular al usuario con una identidad específica en tiempo real, y los atributos autoafirmados no son validados ni verificados. En otras palabras, el IAL1 no requiere la verificación de las afirmaciones y los atributos que el usuario proporciona al proveedor de servicios de credenciales; por lo tanto, sólo sería adecuado para las operaciones de menor riesgo en sectores no regulados.

# 2 razones por las que selfie ID no cumple con KYC/AML

Por una parte, el bajo grado de seguridad técnica, la debilidad de las pruebas electrónicas que se aportan en el proceso KYC (Know Your Customer) y la poca fiabilidad que presentan en relación con la falta de integridad del este, provocan que este tipo de soluciones selfie KYC no se ajusten a los requerimientos exigidos por la legislación y las distintas regulaciones.

Por otra parte, el nivel de seguridad proporcionado por las soluciones de verificación de identidad con selfie como KYC es deficiente, lejos de la seguridad requerida para la identificación formal de clientes según las regulaciones más exigentes en esta materia. Estas regulaciones han establecido un nivel más alto de requerimientos técnicos en los procesos AML/KYC que el de las selfies.

# AML y eIDAS excluyen la selfie en KYC como solución de verificación de identidad fuerte

Como hemos expuesto anteriormente, no existen procedimientos de identificación no presencial en Europa que permitan el uso de soluciones de verificación de identidad basadas en imágenes simples o selfies para KYC.

La Directiva AML5 junto con el Reglamento eIDAS de servicios de confianza establecen el marco regulatorio para los procesos KYC/AML en Europa. La primera, confía en el entorno de seguridad eIDAS para la identificación remota de clientes.

La combinación de ambos permite la creación de un único marco regulatorio para toda Europa, el cual condena a las selfies para KYC y posibilita la adopción de la vídeo identificación para los procesos de nueva contratación de servicios y apertura de cuentas de forma totalmente online y segura, homogeneizando así el Mercado Único Digital europeo.

Sin embargo, ya incluso antes de la entrada en vigor de AML5 y eIDAS, muchos estados miembro de la Unión Europea ya tenían reguladores con autorizaciones de identificación no presencial publicadas que permitían utilizar tecnología de vídeo en streaming.

A su vez, el eIDAS también establece diferentes niveles de seguridad (de bajo a sustancial y alto) en la identificación electrónica y la firma electrónica, similares a los establecidos por el NIST.

A este respecto, la Comisión Europea lleva trabajando más de doce años en la cualificación de las soluciones que cumplen con eIDAS y en los niveles de seguridad en la identificación y firma electrónicas. Del mismo modo, se apoya en los organismos locales de estandarización y en la figura del Conformity Assessment Body (CAB).

Del mismo modo, como decíamos, eIDAs se apoya en los organismos locales de normalización y en los organismos de evaluación de la conformidad (CAB). Los CAB realizan una auditoría y emiten un informe de evaluación de la conformidad (CAR) para garantizar que una solución de video identificación es válida. Por ejemplo, supongamos que queremos adoptar una solución KYC/AML; en ese caso, deberemos solicitar un CAR al proveedor de software para confirmar que su solución está auditada, certificada y es compatible con eIDAS/AML.

Además, algunos países como Alemania han elaborado directrices adicionales. Por ejemplo, la primera Guía Técnica denominada TR-03147. Esta Guía Técnica alemana establece medidas de seguridad para la identificación a distancia de clientes exclusivamente por vídeo y documentos de identidad.

# Cómo evitar la verificación de usuarios a través de selfie con ID. Implementando una solución de VideoID segura

El vídeo-streaming se ha convertido en el estándar para la identificación de clientes online debido a su alta seguridad, excelente experiencia de usuario y automatización digital. Como resultado, existen dos tipos de soluciones:

  • Soluciones síncronas: estas realizan la identificación del usuario mediante una videoconferencia dirigida por un agente que lleva a cabo la entrevista del cliente de forma online, así como la comprobación de identidad y documentación.
  • Soluciones asíncronas: todo el proceso de identificación/onboarding se realiza a través del vídeo en streaming, un proceso automático para el usuario y la compañía, que garantiza la gestión e integridad del proceso mediante la grabación del vídeo por parte del sujeto obligado y la posterior verificación offline por parte de un agente cualificado.

Ambas soluciones se pueden combinar dependiendo de la necesidad de su uso. Normalmente, la videoconferencia (síncrona) se utiliza para una venta consultiva en la que se adquiere un nuevo cliente; y el vídeo asíncrono (video identificación) es más común en procesos de captación de clientes que requieren agilidad en el proceso y en los que se ofrece una experiencia rápida (apertura de cuentas bancarias online, por ejemplo) y fluida, pero igual de segura que la identificación presencial. Un ejemplo de solución segura y sencilla es VideoID.

VideoID también permite la emisión de un Certificado Electrónico Cualificado. Esto permite al usuario y a la empresa realizar todos los procesos de alto riesgo en línea, desde la firma de una hipoteca hasta la apertura de una cuenta bancaria, haciéndolo con el mismo nivel de exigibilidad legal que la firma manuscrita.